은행 이용의 편의를 위해 도입한 ‘오픈뱅킹’이 금융사기범죄에 속수무책인 것으로 드러났다. 개인정보를 확보한 범인은 오픈뱅킹을 이용해 피해자의 모든 계좌에 손쉽게 접근할 수 있다. 이를 우려해 사전에 오픈뱅킹 등록을 차단하거나 이체한도를 줄이려 해도 불가능하다. “규정이 없다”는 이유로 은행이 관련 조치를 거부한다. 이로 인해 2차, 3차 피해가 발생해도 책임은 전부 피해자에게 돌아간다.
금융권 범죄를 관리·감독하는 당국 역시 속수무책이다. 금융감독원, 경찰 모두 오픈뱅킹을 이용한 범죄를 별도 관리하지 않는다. 기술을 도입한 지 3년여가 지났지만 “오픈뱅킹은 새로운 기술이어서 지켜보고 있다”는 입장이다. 은행이 보안 강화에 자발적으로 나서길 기다리는 모양새다. 오픈뱅킹을 이용한 범죄 방식, 규모 등의 실체파악이 제대로 이뤄지지 않는만큼 대책도 없다. 고객 스스로 피해를 당하지 않도록 주의하는 게 사실상 유일한 대안이다.
오픈뱅킹은 은행 이용에 필요한 시간, 비용 등을 획기적으로 절약한다고 홍보됐다. 새로운 기술 활용에 익숙한 세대를 중심으로 이용자도 급격히 증가했다. 반면, 오픈뱅킹이 초래할 수 있는 문제에 대한 경고는 제대로 이뤄지지 않았다. 이로 인해 ‘기술이 있는지도 모르고, 앞으로 이용할 의사도 없는 사람들’이 금융사기범죄 피해를 입고 있다. 이들은 주로 고령자다.
오픈뱅킹 가입을 독려한 은행, 이들을 감독하는 금감원, 피해수사를 책임진 경찰이 충분히 예상가능한 문제를 지켜보는 사이 누군가에게 오픈뱅킹 기술은 ‘재앙’이 됐다. ‘개인정보가 노출되면 피해자의 모든 은행계좌가 한꺼번에 위험에 노출될 수 있다. 모든 계좌를 확인해야 한다’. 장점 사이에 가려져 숨겨져 있던 오픈뱅킹의 또 다른 본질이다.
■가입은 ‘환영합니다’, 문제 생기면 ‘우리 책임 아닙니다’
지난 8월 6일 A씨는 낯선 번호로 “아빠 나야 휴대폰이 고장 나서 수리 맡겼어. 문자 확인하면 여기로 답장줘”라는 문자메시지를 수신했다. 실제 딸이 보낸 문자로 착각한 A씨는 발신자와 몇차례 대화를 주고받은 뒤 요청대로 휴대폰 앱을 설치하고, 신분증 사진을 전송했다. 딸을 사칭한 범인에게 속아 넘어간 A씨는 하나은행 계좌번호까지 알려주고 말았다.
뒤늦게 이상함을 눈치챈 A씨는 딸과 통화한 후 하나은행 계좌에 입금돼 있던 약 200만원을 즉시 인출했다. 범인에게 노출된 하나은행 계좌만 조치하면 문제가 없으리라고 판단했다. 흔히 볼 수 있는 스미싱 범죄(인터넷주소가 포함된 문자를 피해자에게 보내 악성코드를 설치한 후 개인정보를 탈취하는 수법)라는 생각이었다. 착각이었다. A씨가 모르는 사이 도입된 기술은 상상도 하지 못했던 범죄에 그를 노출시켰다. 범인은 은행 간 금융결제망을 개방하는 ‘오픈뱅킹’ 기술을 이용해 A씨 명의의 모든 계좌를 손에 넣고 있었다.
범인이 사용한 방식은 손쉬웠다. A씨 휴대폰으로 악성코드가 포함된 인터넷주소를 보내 누르게 하고, 원격조정이 가능한 앱을 설치했다. 여기까지는 일반적인 스미싱 범죄와 같았다. 이후 범인은 A씨 휴대폰을 조작해 우리은행 계좌를 만들고, 오픈뱅킹을 등록했다. 오픈뱅킹을 이용하면 은행이나 핀테크 기업 앱 하나로 한 사람의 모든 계좌에 접근이 가능하다는 점을 악용한 것이다.
안전장치 역시 쉽게 무력화했다. 오픈뱅킹을 등록할 때 필요한 본인 인증은 타행계좌 인증 방식 등으로 간단히 통과했다. 이 방식은 인증기관이 A씨 명의 계좌로 1원을 보낸 후 입금자명(보통 ‘숫자’)을 입력하면 본인 인증이 완료되는 것이다. A씨의 하나은행 계좌는 바로 여기서 이용됐다. 유사한 방법으로 우리은행의 모바일 금융인증서(WON 금융인증서)도 발급받았다. 우리은행의 비대면 실명확인 방법을 사용하면, 신분증 촬영과 계좌인증만으로 발급이 가능하다는 점을 악용한 것이다.
A씨는 기존에 우리은행과는 거래를 하지 않았다. 그럼에도 우리은행 오픈뱅킹을 통해 A씨의 모든 계좌가 범인에게 넘어갔다. 범인은 A씨의 농협계좌에 있던 602만원을 기업은행 ‘이규형’이라는 이름의 계좌로 이체했다. 처음 문자를 보낸 후 이체완료까지 걸린 시간은 단 35분이었다.
범인에게 신분증, 계좌번호를 공개한 것은 A씨의 부주의다. 이로 인해 발생한 문제에 대해 A씨는 금전적 피해로 책임을 졌다. A씨는 “범인을 꼭 잡을 수 있길 바랄 뿐 해당 부분에 대한 책임까지 피하려는 것이 아니다”고 했다. 문제는 추가 피해를 막으려는 피해자의 ‘당연한’ 조치에서 발생했다. 이는 한국의 오픈뱅킹 제도가 얼마나 허술한지를 보여준다.
오픈뱅킹의 특성상 A씨의 또 다른 계좌에서 추가 이체가 발생할 수 있었다. A씨는 경찰의 도움을 받아 휴대폰에 설치된 원격조정 앱부터 삭제했다. 또 범인이 A씨 명의로 신규 휴대폰을 개설하는 것을 막기 위해 명의도용방지서비스를 제공하는 엠세이퍼(www.msafer.or.kr)를 통해 제한조치를 완료했다. 남은 것은 가장 핵심인 오픈뱅킹에 대한 조치였다. 그런데 여기서 문제가 발생했다. 은행이 A씨가 요구한 오픈뱅킹에 대한 일련의 조치를 모두 거절했다.
지난 8월 8일, A씨는 우리은행 지점을 방문해 오픈뱅킹 개설을 사전에 차단할 수 있는지 물었다. “그럴 수 없다”는 대답이 돌아왔다. A씨는 오픈뱅킹이 무엇인지도 모르고, 앞으로 이용할 계획도 없지만 등록을 사전에 막을 수 없다는 것을 이해할 수 없었다. 그렇다면 범인이 자신(A씨)의 계좌에 접근해 돈을 이체할 수 없도록 제한을 걸거나 이체한도를 소액으로 설정할 수는 있는지 물었다. 이에 대해서도 우리은행 측은 “오픈뱅킹은 1000만원보다 이체한도를 적게 설정할 수는 없다”고 답했다. A씨는 “내 부주의로 발생한 손해를 책임져 달라는 것도 아니고 단지 추가 피해를 막아달라는 것이었다”며 “이체제한이나 이체한도 설정도 불가능하다는 것을 금감원에 따지기 위해 서면으로 해당 내용을 답변해달라고 했지만 우리은행은 이마저도 거부했다”고 말했다.
결국 A씨는 추가피해를 막기 위해 오픈뱅킹으로 접근 가능한 모든 금융권 계좌에서 돈을 인출했다. A씨는 “내가 피해자임에도 마치 신용불량자처럼 금융거래를 하지 못하고 있다”며 “언제까지 이렇게 지내야 할지 알 수 없어 너무 괴롭다”고 말했다.
■은행 vs 금융결제원… 누구의 말이 진실인가
A씨가 겪은 피해 사례는 여러 의문점을 남긴다. 특히 범죄에 대응하는 과정에서 은행은 대체 무슨 일을 할 수 있는지가 핵심이다. 우리은행 관계자는 기자와의 통화에서 “오픈뱅킹 스미싱은 범인이 유도하는 대로 피해자가 앱을 설치하고, 신분증을 보냈기 때문에 발생한 것”이라며 “의심되는 앱은 설치하지 말라고 경고를 했음에도 발생한 피해까지 막기는 어렵다”고 말했다. 해당 답변은 A씨가 요구한 사후 조치에 대한 내용이 아니다. A씨는 이미 발생한 금전 피해가 아닌 ‘오픈뱅킹을 앞으로도 이용하지 않을 테니 등록을 사전에 막아달라’, ‘계좌이체를 제한하거나 이체한도를 소액으로 제한해달라’고 요구했다.
다시 우리은행 관계자에게 물었다. 사전 등록제한과 관련해서는 “오픈뱅킹을 이용할 의사가 없다고 하더라도 막을 수 없다”고 답했다. 그러한 제도 자체가 없다는 이유다. 또 이체제한, 이체한도 설정과 관련해서는 “오픈뱅킹 이체한도가 1일 1000만원으로 설정된 것은 금융결제원이 결정한 것으로 전체 금융권이 일관되게 적용받는다”며 “오픈뱅킹은 금융결제원이 만든 전산망을 쓰기 때문에 임의로 이체를 제한하거나 한도 설정을 변경해줄 방법이 없다”고 말했다. 은행은 고객들에게 오픈뱅킹 가입을 홍보해왔다. 하지만 막상 문제가 발생하면 금융결제원 전산망을 쓰기 때문에 은행은 책임이 없다는 것이다.
우리은행만의 입장인지 확인이 필요했다. 사실관계를 보다 명확히 하기 위해 우리은행을 포함한 5대 은행(국민·신한·농협·하나·우리) 고객센터에 동일한 질문을 했다. 답변의 포장을 막기 위해 은행 홍보팀이 아닌 일반 고객들이 접근할 수 있는 ‘고객센터’에 연락했다. 그 결과 자체 시스템으로 사전에 오픈뱅킹 등록제한이 가능하다고 안내하는 곳이 있었다. ‘하나은행’이었다. 하나은행 관계자는 “오픈뱅킹 이용을 원하지 않으면 가까운 영업점에 신분증을 가지고 방문해 오픈뱅킹 사용거부 등록을 하면 된다”고 말했다. 등록제한이 기술적으로 불가능한 것은 아니라는 의미다. 이외 4개 은행은 오픈뱅킹 등록을 사전에 제한하는 방법은 없다고 답했다.
이체제한, 이체한도 설정과 관련해서는 5개 은행 모두 “금융결제원이 1일 이체한도 1000만원을 지정했기 때문에 개별적으로 이체를 제한하거나 한도를 줄이는 것은 불가능하다”고 답변했다. 다만 신한은행은 안전장치를 하나 두고 있었다. ‘만 50세 이상 고객이 최초 오픈뱅킹 등록 시, 12시간 동안 이체를 제한하는 제도’를 운영했다. 농협은 농협계좌의 이체한도를 소액으로 설정해두면 오픈뱅킹 이체한도 1000만원에 우선해서 적용한다고 말했다. 즉 은행이 마음만 먹으면 이체제한, 한도설정이 불가능한 것도 아니라는 것이다.
은행들은 금융결제원 지침을 이유로 오픈뱅킹에 대한 조치가 어렵다고 했다. 이에 대해 금융결제원에 사실관계 확인을 요청했다. 관계자는 “전혀 사실이 아니다”며 “시중 은행에서 오픈뱅킹 1일 이체한도를 1000만원 이하로 낮춰도 문제가 없다. 은행들과 만든 이용약관에도 이체한도는 1000만원 범위 내에서 설정해야 한다고 했기 때문에 자유롭게 설정하면 된다”고 말했다. 또 “오픈뱅킹을 이용할 의사가 없는 고객들의 등록을 사전에 막아두는 제도 역시 은행들이 자율적으로 제공하면 된다”며 “금융결제원은 은행들의 오픈뱅킹 제도 운용에 제한을 두는 지침을 준 적이 없다”고 밝혔다.
주요 시중은행은 금융결제원의 사원으로 등록돼 있다. 그럼에도 이들 내부에서조차 규정을 둘러싼 이해가 다르다. 서로에게 책임을 떠넘기는 사이 피해를 입는 것은 오픈뱅킹이 무엇인지도 몰랐던 A씨와 같은 일반 시민들이다.
■왜 모든 책임을 고객이 떠안나
해당 문제에서 자유로울 수 없는 것은 금융 관련 사건을 감독하는 금감원, 사후 수사를 담당하는 경찰도 마찬가지다. 금감원에 해당 사례에 대한 입장을 요청했다. 금감원 관계자는 “사전에 오픈뱅킹 등록을 막는 제도가 정규화된 것은 없다”며 “시중은행에 오픈뱅킹 관련 주의사항을 여러번 당부했지만 일률적으로 대안을 강제하기는 어려운 사안이다. 사기예방 서비스는 은행이 자율적으로 도입하는게 맞는 것 같다”고 말했다.
오픈뱅킹의 경우 잊고 있던 계좌를 도용당해 등록될 수도 있다. 적어도 본인 명의 계좌가 도용돼 오픈뱅킹에 가입됐는지 정도는 금감원에서 조회할 수 있어야 한다. 하지만 이에 대한 대책도 없다. 관계자는 “금감원이 제공하는 시스템에 등록하면 신규계좌 개설이나 대출은 제한되지만 오픈뱅킹 가입여부를 조회하거나 해지하는 시스템은 아직 없다”며 “올해 연말까지 금융결제원과 논의해 이러한 시스템을 구축하는 것이 목표”라고 말했다. 금감원은 오픈뱅킹을 이용한 범죄에 대해서도 별도 통계를 가지고 있지 않다고 밝혔다.
경찰도 상황은 크게 다르지 않다. 경찰청 관계자에게 오픈뱅킹을 이용한 금융범죄에 대해 물었다. “이러한 범죄는 보통 대포폰, 차명계좌 등을 이용해 이뤄지기 때문에 범인 검거가 쉽지 않은 것이 현실”이라며 “가장 바람직한 것은 피해자 휴대폰에 해킹앱이나 원격조정앱이 설치되면 금융앱이 작동하지 않도록 사전에 차단하는 것인데 제1금융권의 경우 이러한 제도를 이미 도입했다”고 말했다. 그러면서 “A씨 사례의 경우 원격제어앱과 금융앱이 어떻게 동시에 작동할 수 있었는지 확인해봐야 한다”고 말했다.
실제로 스미싱 피해가 늘어나면서 휴대폰에 악성앱이 설치되면 금융앱이 작동하지 않도록 하는 기술이 도입됐다. 우리은행 관계자에게 앱 보안 문제에 대해 확인을 요청했다. 관계자는 “은행앱이 악성앱을 탐지하는 기능은 기본적으로 탑재된 것이 맞다”면서도 “이를 피할 수 있는 경우의 수가 너무 많다”고 말했다. 악성앱이 감지되면 ‘알 수 없는 어플’이라는 경고문이 뜨는데 이용자가 이를 무시하고 설치를 강행하면 보안기능이 무력화된다는 것이다. 또 보안 기술을 회피할 수 있는 새로운 악성앱이 개발됐을 가능성도 배제할 수 없다고 설명했다. 경찰 관계자는 이에 대해 답답함을 호소한다. “금융권은 자사 앱 보안 기능이 제대로 작동하는지 경각심을 가져야 한다”며 “경찰에서 매번 이를 확인하려고 해도 현실적인 어려움이 있다”고 말했다. 악성앱과 금융앱이 동시에 작동하는 것에 대한 책임이 누구에게 있는지는 상황에 따라 달라질 수 있다. 그럼에도 책임은 고스란히 피해자에게만 전가된다. 모든 잘못이 피해자에게만 있다는 것이다.
해당 사안에 대해 정지웅 법률사무소 정 변호사는 “오픈뱅킹 등록을 사전에 제한하는 조치가 은행의 자율적 영역이 맞다면, A씨 사례처럼 은행이 고객의 등록제한 요청을 거부한 것은 지나친 권리 침해로 보인다”며 “오픈뱅킹 등록제한, 이체제한, 앱 보안 등이 기술적으로 불가능한 문제도 아닌 만큼 법적으로 다퉈볼 여지가 있다”고 말했다. 정 변호사는 경실련 금융개혁위원으로 활동하며 금융위원장을 상대로 불법 공매도 세력의 명단 공개 소송을 내 승소를 이끈 바 있다.
A씨는 한 달째 모든 생활을 현금으로만 하고 있다. 은행 예금은 모두 인출했다. 오픈뱅킹을 통해 A씨 명의의 또 다른 은행계좌에서 피해가 발생할까 불안하기 때문이다. 금전적 피해보다 A씨를 괴롭히는 것은 자괴감이다. A씨는 “오픈뱅킹 제도가 있는지도 몰랐고, 설사 알고 있었다고 해도 이용할 생각이 없는데 피해는 전부 내 책임이라고 한다”며 “돈을 잃은 것보다 괴로운 것은 은행이 하루아침에 나를 세상 물정 모르는 한심한 사람으로 취급하는 것”이라고 말했다.
모든 문제를 피해자 탓으로 돌리는 건 책임을 회피하는 방법 중 가장 전형적인 모습이다. 제도의 맹점을 피해자의 잘못으로 가린다. A씨 사례처럼 오픈뱅킹으로 모든 계좌가 범죄자에게 노출됐다면, 그로 인해 발생한 2차, 3차 피해까지 오롯이 피해자 책임인지는 따져봐야 한다. A씨는 오픈뱅킹 기술을 알지도, 이용에 동의하지도 않았기 때문이다.
*오픈뱅킹을 이용한 스미싱 피해를 입은 분들의 제보를 기다립니다. 오픈뱅킹의 기술적 문제점을 알고 있는 전문가분들의 연락을 기다립니다.
※기사가 나간 후 신한은행은 "오픈뱅킹 등록 사전 차단 서비스를 제공하고 있다. 가까운 영업점을 방문하거나 모바일앱을 통해 할 수 있다. 고객센터에서 해당 내용을 잘못 전달한 것 같다”고 알려왔습니다.
하나은행은 “만 48세 이상 고객이 최초 오픈뱅킹 등록 시, 12시간 동안 이체제한 서비스를 제공하고 있다”고 추가로 전달해 왔습니다.
또 우리은행은 “현재, 오픈뱅킹으로 발생하는 전자금융사기 방지를 위해 금융결제원와 수시로 컨택하여 현 문제점에 대해 논의하고 있으며, 은행 내부적으로도 오픈뱅킹 서비스 가입 제한 장치 마련 등 검토 중에 있다”고 밝혀왔습니다. 국민은행 관계자는 “국민은행에는 계좌번호가 노출되지 않게 숨기는 기능이 있다”며 “이를 활용하면 타행 오픈뱅킹을 이용해도 국민은행 계좌는 연동되지 않을 수 있다”고 전해왔습니다.